Pages

jeudi 24 août 2017

Le vol de données sur un réseau accessible

L'extraction de données d'un réseau privé auquel on a librement accès peut-elle constituer un vol ? A cette question, qui n'est pas nouvelle dans la doctrine, la Chambre criminelle répond positivement dans un arrêt du 28 juin 2017. L'affaire jugée par la Haute Juridiction trouve son origine dans un conflit entre les deux associés d'un cabinet d'avocats. L'un avait en effet récupéré sur le serveur du cabinet différents documents financiers que sa consoeur communiquait à différentes banques et mutuelles. Il en avait fait un tirage qu'il avait communiqué au bâtonnier. Bien entendu, la consoeur avait porté plainte pour vol et il avait été condamné sur ce fondement, condamnation confirmée d'abord en appel puis par la Cour de cassation. 

L'argument essentiel de l'auteur du pourvoi reposait sur l'idée que le serveur de la SCP était protégé par un mot de passe unique. Tous les associés du cabinet pouvaient y pénétrer et prendre connaissance des pièces qui y figuraient. A ses yeux, la soustraction des pièces qu'il avait prélevées ne saurait constituer un vol. C'est précisément ce raisonnement que sanctionne la Cour de cassation.

Aux termes de l'article 311-1 du code pénal, le vol se définit comme "la soustraction frauduleuse de la chose d'autrui". Depuis bien longtemps, le vol peut porter sur des contenus incorporels et l'invention de l'informatique a suscité une évolution en ce sens. Dès 1998, la Cour de cassation punissait le vol du contenu informationnel contenu dans les anciennes disquettes. En 2003, elle évoquait le vol de données informatiques, quel qu'en soit le support, puis, en 2008, le vol de fichiers informatiques. 

Le précédent de Bluetouff


La question du vol commis sur un réseau n'a été posée que plus récemment, dans la célèbre affaire Bluetouff, à l'origine de la décision rendue par la Cour de cassation le 20 mai 2015. Le blogueur condamné avait réussi à pénétrer sur le serveur de l'Agence nationale de sécurité sanitaire de l'alimentation, de l'environnement et du travail (Anses), serveur utilisé par les chercheurs de l'Agence pour stocker et échanger leurs documents. Il avait trouvé et téléchargé une grande quantité de pièces, par l'intermédiaire d'un réseau privé virtuel (VPN) vers une adresse IP située au Panama, ce qui explique que l'opération soit passée inaperçue. C'est seulement lorsque les données piratées ont commencé à apparaître sur le net que l'Anses s'est aperçue de l'importance à la fois quantitative et qualitative des données piratées.

La Cour de cassation avait alors admis le vol, alors même que le blogueur avait profité d'une faille de sécurité du système pour y pénétrer. Cette solution reposait sur la distinction entre trois infractions.

La première est prévue par l'article 323-1 c. pén. et réside dans l'accès frauduleux à un système informatique. Sur ce fondement, Blootouff avait été relaxé. Il avait en effet bénéficié d'une défaillance technique dont il n'était pas responsable. De fait, cette faille de sécurité était à l'origine de l'indexation des données sur les moteurs de recherches.

La seconde infraction, prévue par le même  article, est le maintien dans ce système, une fois que l'on a appris qu'il était de nature privée. La Cour de cassation avait alors confirmé la condamnation, car le blogueur avait reconnu qu'il avait parfaitement compris qu'il était demandé identifiant et mot de passe sur la page d'accueil du site. Il ne pouvait donc ignorer qu'il circulait dans un espace privé, et il aurait donc du partir discrètement.

Enfin, la troisième infraction est constituée par le téléchargement de données extraites d'un site privé. Celui-ci est tout simplement réprimé par l'article 311-1 du code pénal qui punit le vol. Dans l'affaire Bluetouff, le vol est évidemment constitué, car, au moment du téléchargement, l'intéressé ne pouvait ignorer le caractère privé des informations qu'il s'appropriait frauduleusement, à l'insu de leur propriétaire.

Les gens de justice. Honoré Daumier. 1808-1879

Un délit spécifique


L'arrêt du 28 juin 2017 reprend la jurisprudence Bluetouff , en élargissant le vol de données à un réseau purement privé, auquel l'auteur a accédé de manière légitime, en mentionnant un mot de passe qu'il était fondé à utiliser. Observons cependant que cette qualification de vol est un peu gênante. D'une part, les données n'ont pas disparu comme disparaît n'importe quel objet volé. D'autre part, le caractère "frauduleux" doit être appréhendé à travers le détournement de finalité : l'avocat n'a pas extrait les données dans un but de gestion du cabinet mais pour nuire à sa consoeur. Enfin, l'identification de la victime n'est pas toujours aisée. Les données piratées sont les informations financières liées au cabinet. Peut-on réellement apprécier quel associé en est propriétaire ? La réponse à cette question est loin d'être claire. Quoi qu'il en soit, la Cour de cassation se contente de la qualification de vol, faute de mieux, et peut-être parce que le législateur est intervenu ensuite, dis ans après les faits qui ont suscité l'arrêt du 28 juin 2017.

La loi du 24 juillet 2015 a en effet introduit dans le code pénal un nouvel article 323-3 qui punit "le fait d'introduire frauduleusement des données dans un système de traitement automatisé, d'extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données qu'il contient". Rappelons que la loi du 6 janvier 1978 informatique et libertés impose un critère général de finalité. La simple extraction de données constitue ainsi, en soi, une infraction, dès lors qu'elle repose sur une finalité qui n'est pas celle du traitement automatisé. Ce délit est d'ailleurs est d'ailleurs réprimé sévèrement, d'une peine de 5 ans de prison et de 150 000 € d'amende, peine qui peut être portée à 7 ans de prison et 300 000 € d'amende lorsque le fichier est mis en oeuvre par l'Etat. En l'espèce, ce délit aurait pu être utilisé si les faits ne s'étaient pas déroulés dix ans avant le vote de ce texte. L'avocat avait en effet extrait des données financières, non pas dans le but de gérer le cabinet mais dans celui-ci de nuire à son associée.

D'une manière plus générale, rien ne permet de savoir, pour le moment, comment ce texte sera appliqué.  Un lanceur d'alerte pourrait-il être poursuivi sur ce fondement ? On songe à l'employé de HSBC qui a sorti des fichiers portant sur des listes de titulaires de comptes dans les établissements bancaires suisses. Il a certes extrait des données issues des fichiers clients d'une banque, mais il agissait dans le but de faire connaître des pratiques d'évasion et de fraude fiscales. S'il est normal que le vol de données soit sanctionné, l'infraction nouvelle ne doit tout de même pas devenir un instrument de lutte contre les lanceurs d'alerte.

Sur la protection des données : Chapitre 8 section 5 du manuel de libertés publiques : version e-book, version papier.

 


2 commentaires:

  1. Brillante analyse juridique du délit de vol en cette fin d'été 2017 qui nous guide dans une meilleure compréhension du droit existant et de la jurisprudence actuelle ! Dans la pratique, et en dépit des subtilités du législateur et du juge, cet arrêt laisse deux importantes questions dans l'ombre :

    - celle de la délimitation précise entre le vol parfois légal et le vol souvent illégal dans le domaine numérique. A ce sujet, comment qualifier le siphonnage à grande échelle des données des particuliers par les fournisseurs d'accès sans que cela ne conduise la Cour de cassation à se prononcer ?

    - celle de la délimitation entre lanceur d'alerte et délateur de bas étage. Le concept de lanceur d'alerte n'est-il pas, aujourd'hui, souvent dévoyé de son noble objectif de principe ? A partir de quel moment bascule-t-on de la catégorie enviée de défenseur de la bonne cause à celle détestée de "corbeau" ? Que dire des chaines d'information en continue qui déversent à longueur de journées des nouvelles souvent pas ou peu vérifiées au risque de détruire la réputation d'un ou d'une honnête citoyen(ne) ? En ce jour de parution de son ouvrage posthume "Témoins à charge", ayons une pensée pour le juge Jean-Michel Lambert qui s'est suicidé sous la pression de donneurs de leçons assimilables à de véritables corbeaux !

    "L'intention fait la culpabilité et le délit" (Aristote).

    RépondreSupprimer
  2. Si l'analyse juridique est brillante, elle s'appuie, du moins en partie sur l'interprétation de la magie d'un VPN panaméen, sur une belle absurdité technique.
    Vous devriez lire les faits https://bluetouff.com/2013/04/25/la-non-affaire-bluetouff-vs-anses/
    ... Et comprendre qu'un VPN, surtout pas celui là, m'aurait permis de passer inaperçu. Je passe sur les autres incongruités qui ont également nourri les fantasmes d'une proc et des juges (la blague de l'authentification sur la page d’accueil, celle là c'est la plus belle.

    J'ai bien reconnu la présence d'une authentification oui, comme il y en a une sur la home de twitter ou de facebook... et devinez quoi ? Et bien la majorité des contenus sont publics, accessibles sans authentification. Vous imaginez les centaines de millions de pirates qui osent visiter ces pages publiques alors qu'il y a une authentification sur la home. Et qui selon ce raisonnement "ne peuvent pas ne pas savoir que c'est privé"; logique il y a une auth).

    Je sais, un juge juge sur le droit, les juristes n'ont pas à comprendre que 2 et 2 font 4 puisqu'ils ne sont pas mathématiciens, mais à force de juger sur la base de n'importe quoi on finit par condamner n'importe qui.

    Enfin, votre analyse juridique gagnerait encore en qualité si vous lisiez ceci : https://nonblocking.info/bluetouff-le-quatrieme-cavalier-de-l-apocalypse/ ainsi que ceci : https://nonblocking.info/la-recherche-gogleu-dont-vous-etes-le-heros/

    Cordialement,

    Olivier, aka Bluetouff dit Abu Buntu, votre cyberterroriste, phénomène de foire juridique préféré

    RépondreSupprimer